Em 18 de julho de 2024, publicamos o relatório Thales Data Threat Report 2024 e em 9 de agosto, o Relatório Thales de Ameaças aos Dados 2024 – esse disponível em espanhol e português com recortes sobre os desafios enfrentados pelas organizações na América Latina.
Em nossa entrevista exclusiva com Sergio Muniz – Diretor de Negócios de Gerenciamento de Identidade e Acesso da Thales para a América Latina e Abilio Branco – Diretor Regional de Segurança de Dados SOLA (Brasil e Cone Sul) da Thales abordamos questões cruciais relacionadas à segurança cibernética e à proteção de dados na América Latina.
Abilio Branco – Diretor Regional de Segurança de Dados SOLA (Brasil e Cone Sul) da Thales
Mergulhamos nessa discussão para entender como as empresas estão se preparando para lidar com essas ameaças.
Crypto ID: O relatório menciona que os ataques de ransomware estão em ascensão. Você acredita que o mercado brasileiro está adequadamente preparado para lidar com esses tipos de ataques? Quais medidas de segurança são normalmente implementadas para mitigar os riscos?
Sergio Muniz: Infelizmente, de acordo com os indicadores ainda temos um longo caminho a percorrer, mas em muitas corporações com as quais interagimos mais frequentemente (clientes Thales ou não) vemos a adoção (ou ao menos um plano de adoção) de soluções adaptadas às suas realidades para mitigar os riscos de ataques, como veremos adiante (e como apontado no relatório).
Mas antes, gostaria de trazer um item do relatório que demonstra essa fragilidade e este longo caminho: Resposta a ransomware continua sendo um desafio na região. Apenas 21% dos entrevistados possuem um plano formal de resposta a incidentes de ransomware e 12% afirmaram que pagaram ou pagariam o resgate no caso de um ataque. São números menores que os indicadores globais, demonstrando fragilidade da região neste quesito, ainda que nenhum setor independente de vertical de indústria ou tamanho de empresa apresente um resultado igual ou superior a 50% na média global.
Por outro lado, fica evidente que existem ferramentas altamente eficazes na redução de riscos. O relatório, tanto a nível LATAM quanto global, explora essas ferramentas e demonstra que seu uso contribui significativamente para mitigar riscos. Entre essas ferramentas, destacam-se a autenticação robusta (MFA), a gestão de identidades externas (para clientes e terceiros), o uso de criptografia, o gerenciamento de segredos e a gestão de chaves. Além disso, há uma forte preocupação e investigação no mercado local em relação a todas essas práticas de segurança.
Finalmente, um ponto positivo é o resultado daquelas organizações que passaram por suas Auditorias de Conformidade: Apenas 23% possuem histórico de violação e somente 3% sofreram uma violação nos últimos 12 meses, o que reitera o uso das boas práticas. As auditorias são partes estratégicas de um plano de segurança cibernética, e podemos supor que elas não apenas enxergam as vulnerabilidades, mas também reforçam a importância da implementação das ferramentas mencionadas acima para a mitigação de riscos.
Crypto ID: O erro humano continua sendo uma das principais causas (38%) de violações de dados na nuvem. Vocês têm programas de treinamento ou conscientização para minimizar esses erros? E quanto à aplicação de MFA em contas privilegiadas aparecendo como principal causa de violação de dados na nuvem em 21% das empresas?
Abílio Branco: Para minimizar os erros humanos na segurança de dados na nuvem, as organizações devem implementar programas de treinamento e conscientização abrangentes. Isso inclui oferecer treinamentos regulares sobre segurança da informação e ciberhigiene, usando exercícios práticos e simulações. Campanhas contínuas de conscientização devem informar os funcionários sobre ameaças emergentes, utilizando diversos canais de comunicação. É crucial ter políticas de segurança claras e bem documentadas, que sejam comunicadas regularmente. Enfatizar a responsabilidade individual e promover uma cultura de segurança, reconhecendo boas práticas, também são estratégias importantes. Testes e simulações regulares ajudam a avaliar e melhorar continuamente os programas, garantindo que as organizações acompanhem as tendências e melhores práticas na segurança de dados na nuvem.
Sergio Muniz: Este item sobre MFA de contas privilegiadas pode e deve ser melhor explorado. O primeiro ponto relevante é que um usuário com privilégios (administrando base de dados, ou um firewall, ou mesmo acessando dados sensíveis) pode e deve usar uma solução de privilégios para este fim (cofre de senha, End Point privileged Management), mas ele também é um usuário regular (sem privilégios) na maior parte do tempo ou do seu horário de trabalho, acessando email, ferramentas de RH, entre outros. Isso nos leva ao segundo ponto: se a empresa tem um acesso vulnerável, ela está vulnerável, porque o atacante sempre poderá entrar explorando essa vulnerabilidade e explorar o ambiente por semanas ou mesmo meses (eventualmente um ano ou mais), enquanto acessa novos usuários com diferentes perfis de acesso. E para corroborar com estes 2 pontos e seus riscos, historicamente, diversos indicadores apontam o roubo de credenciais como uma das maiores causas para os ataques, mesmo quando essa causa decorre de erro humano para os ataques por malware, phishing ou ransomware, como mostra o relatório.
Portanto, mesmo com uma solução de privilégios, a nossa recomendação na Thales é implementar a gestão de acesso para todos os acessos, sem exceção. Casos de uso mais complexos podem ser atendidos por diferentes formatos de autenticadores. Um dos pontos fortes em nossa solução Safenet Trusted Access e de muitas das soluções de acesso privilegiado do mercado (PAM de Privileged Access Management) se integram conosco e temos diversos exemplos em clientes no Brasil e em toda a América Latina.
Crypto ID: O gerenciamento de segredos foi citado como um dos principais desafios em DevOps. Como sua equipe lida com essa questão? Vocês têm práticas específicas para proteger segredos e chaves de acesso?
Abílio Branco: A Thales oferece uma solução robusta para o gerenciamento de segredos em ambientes DevOps, abordando um dos principais desafios enfrentados pelas equipes de desenvolvimento e operações. O Thales CipherTrust Manager proporciona uma plataforma centralizada para gerenciar, armazenar e proteger segredos e chaves de acesso de forma eficiente e segura. Isso é crucial, especialmente com o aumento do número de segredos gerados pela crescente adoção de microserviços, contêineres e ambientes multi-cloud, que exigem uma gestão mais complexa e integrada.
A solução da Thales automatiza o ciclo de vida dos segredos, desde a criação até a rotação e destruição, garantindo que as práticas recomendadas de segurança sejam seguidas. Além disso, integra-se facilmente com ferramentas de DevOps populares, permitindo que os desenvolvedores incorporem segurança sem comprometer a agilidade. Indicadores como a frequência de incidentes de segurança, o tempo de resposta para rotação de chaves e a complexidade das infraestruturas modernas destacam a necessidade crescente de soluções como a da Thales para proteger informações sensíveis e garantir a continuidade dos negócios.
Crypto ID: A ameaça da computação quântica preocupa muitas organizações. Vocês já estão considerando a implantação de criptografia pós-quântica? Se sim, quais são os próximos passos nesse sentido?
Abílio Branco: A Thales reafirma sua posição de liderança em criptografia, especialmente diante dos desafios impostos pela computação quântica. Em colaboração, a Thales foi fundamental no desenvolvimento do algoritmo Falcon, selecionado pelo NIST como um dos padrões finalistas de criptografia pós-quântica. Este reconhecimento solidifica o papel da Thales como pioneira em soluções de segurança que não apenas respondem às ameaças atuais, mas também antecipam riscos futuros.
A Thales está ativamente apresentando criptografia pós-quântica para seus clientes. Além disso, a Thales continua a trabalhar estreitamente com seus clientes para garantir uma transição segura e eficiente para esta nova era de segurança. Com uma sólida trajetória em criptografia, a Thales está solidamente qualificada para liderar e orientar seus clientes na navegação deste cenário tecnológico dinâmico, garantindo uma proteção robusta e duradoura contra ameaças emergentes.
Crypto ID: Existe uma preocupação crescente com as identidades externas acessando redes empresariais. A que se deve este efeito?
Sérgio Muniz: Temos dois fatores relevantes. Podemos falar atualmente de uma diversidade de identidades acessando externamente as redes empresariais, ainda que em um domínio 100% público (internet seja por web ou apps por parte de clientes), ou até mesmo 100% privado restrito aos funcionários da empresa (incluindo funcionários terceirizados, temporários ou prestadores de serviço). No meio estão os fornecedores, distribuidores, agentes e brokers, acessando sistemas de empresas com as quais colaboram, seja para um desenvolvimento conjunto de produto ou serviço, venda de seguros ou de varejo, entre outros cenários possíveis.
Isto nos leva aos 2 fatores. Inicialmente o perfil de clientes, clientes corporativos ou empresas participantes de uma mesma cadeia produtiva, acessam sistemas de domínio parcialmente público, onde o acesso às informações restritas ao uso de determinado usuário deve ser gerenciado com algum grau de segurança (além de usuário e senha), mas sem necessariamente uma autenticação robusta como solicitamos para um funcionário acessando um sistema 100% interno.
A privacidade, o consentimento e a agilidade nos acessos, por outro lado são itens extremamente relevantes, e a gestão do ciclo de vida da identidade (permitindo delegação em cascata) é outro fator relevante, controlando de forma efetiva o que chamamos de on-boarding e off-boarding, pois qualquer falha neste processo é um ponto de vulnerabilidade relevante que pode ser explorada pelos criminosos.
O segundo fator relevante para esta preocupação são acessos de terceiros à sistemas mais internos da organização: um fornecedor acessando um equipamento para manutenção, um temporário substituindo um funcionário de férias ou licença, parceiros acessando plataforma própria da empresa para desenvolvimento conjunto de produtos, um call center externo, entre outros. Aqui os itens anteriores continuam sendo relevantes, mas a autenticação forte se faz necessária na maioria dos casos, sempre buscando um equilíbrio entre segurança e uso amigável para cada caso de uso.
A combinação destes casos de uso vai determinar se podemos fazer a gestão destes casos externos com um módulo B2B (Business-to-Business) permitindo delegação entre participantes da cadeia e numa solução completa de CIAM (Customer Identity & Access Management) ou através de uma gestão de acesso corporativa que permite o acesso de terceiros de uma forma robusta a partir de algumas premissas. E como vocês no Crypto ID já entrevistaram clientes nossos, todos sabemos que o uso do Safenet Trusted Access da Thales permite esta gestão do acesso de terceiros de um call center, de médicos e enfermeiras em hospitais, ou mesmo funcionários trabalhando numa mesma máquina em turnos, seja operando equipamentos em ambiente industrial, ou computadores no varejo ou num centro de operações.
Crypto ID: Nesta conversa, abordamos o crescimento dos ataques de ransomware, as complexidades do gerenciamento de identidades e os riscos associados às tecnologias emergentes. Agradecemos aos entrevistados, Sergio Muniz, Diretor de Negócios de Gerenciamento de Identidade e Acesso da Thales para América Latina, e Abilio Branco – Diretor Regional de Segurança de Dados SOLA (Brasil e Cone Sul) na Thales, por compartilharem suas valiosas perspectivas. Continuemos a fortalecer nossas estratégias de segurança e colaborar para um ambiente digital mais seguro. Até a próxima!
Sobre a Thales
A Thales (Euronext Paris: HO) é líder global em tecnologias avançadas especializadas em três domínios de negócios: Defesa e Segurança, Aeronáutica e Espaço e Segurança Cibernética e Identidade Digital. Ela desenvolve produtos e soluções que ajudam a tornar o mundo mais seguro, mais verde e mais inclusivo. O Grupo investe perto de € 4 bilhões por ano em Pesquisa e Desenvolvimento, particularmente em áreas-chave de inovação, como IA, segurança cibernética, tecnologias quânticas, tecnologias de nuvem e 6G. A Thales tem perto de 81.000 funcionários em 68 países. Em 2023, o Grupo gerou vendas de € 18,4 bilhões.
Leia outros artigos da Thales aqui no Crypto ID!
Assista e leia outras entrevistas feitas pelo Crypto ID. Você vai gostar muito. Acesse a coluna IDTalks aqui!
